Wednesday, December 03, 2008

La justicia existe, Defaceos y seguridad informática en el Estado Peruano

Como ultimamente hago, de un solo post, varios temas.

=>Prefiero empezar positivo : tras un largo proceso de 2 meses, finalmente se hizo justicia en un proceso de contratación en el Estado donde nuestro equipo perdió ante una conocida empresa local (regional?) que presentó un certificado GIAC adulterado y que me tocó impugnar. Finalmente, el Tribunal de CONSUCODE falló a nuestro favor.
Es cierto que la comunicación del Director de GIAC sobre este certificado y la ausencia de respuesta de la mencionada empresa fueron los factores determinantes, pero, también la justicia con la que actuaron los miembros del Tribunal.
Si la empresa sabía de esa adulteración o fueron sorprendidos por esta persona, es algo que ya no me compete y será revisado por la autoridad que corresponda.
Ahora, ha ejecutar el proyecto!

=> Defaceos, Defacements, Hackeos, "Hacked by". Es casi imposible pertenecer al mundo del hacking y dejar de comentar respecto a estos temas. Publicamente, siempre digo que hacer un defacement (como en realidad se debe llamar a los "hackeos de web") es una labor simple para gente que recien empieza a hacer hacking.
De esta forma, los "atacantes" consiguen notoriedad porque el 99% de las veces las vulnerabilidades de los sitios afectados no permiten llegar a los verdaderos activos de información de la organización, pero, en verdad, hace tanto daño como si le hicieran "grafiti" a la fachada del local principal de estas organizaciones, feo, no ?
Esta semana, debido a una nueva discusion entre peruanos y chilenos, alguien defaceo el web institucional del Ministerio de Defensa. Sera porque no le otorgo valor a estos "ataques" que me entere mucho tiempo después de ocurrido el hecho o porque tengo mucho trabajo.
Es más, en el último ethical hacking que realizamos, una de las preocupaciones principales de la organización era saber si podían "defacearle" el web y realmente los problemas iban por otro lado que si podían afectar a sus activos de información bajo ataques realmente de hackers.
El problema que yo veo es : si me pintan la fachada con grafiti, la pinto como debe ser y espero que Serenazgo este más listo la próxima, pero, si me "defacean" el web, basta con restaurar el contenido original ? Por favor, hagan algo por asegurarse! Y ese efecto, conocido como "re-defacement" no es solamente local, pasa en TODOS lados!
=> El tema anterior me lleva a este : por qué no invierten en seguridad informática como debe ser ? En los años que tengo en este tema, solo conozco de 2 casos donde han hecho inversiones serias en UNICAMENTE 2 personas para entrenarlos como CEH y GPEN (además de otros cursos como análisis de intrusiones), respectivamente.
Los servicios de ethical hacking siempre corresponden a costos bajos que no superan los 10 ó 12 mil dolares en el 90% de los casos.
Las inversiones en protección de seguridad perimetral hacia Internet son muchas veces espectaculares, pero, siempre orientadas por factores netamente comerciales. Como siempre digo, aún los clientes creen que los vendedores se preocupan por ellos cuando lo único que les importa es su cuota de venta y sus comisiones. Bueno, al fin, de eso viven.
Los técnicos de estas empresas son realmente expertos en los productos que sus empleadores venden y probablemente algunos más, pero, su conocimiento y experiencia en hacking es cercano al nulo porque invierten en entrenarlos en el despliegue de los productos y no en aprender como se comporta un atacante.
Localmente, la mayoría de empleos de tecnología tienen sueldos medios a bajos y en el Estado es peor aún, debido a eso, EN LA MAYORIA DE ENTIDADES, no se cuenta con personal adecuado en términos de preparación previa, skills y experiencia. Y cuando se tiene alguien con skills, no invierten en entrenarlo en temas de hacking.
Después de ese defacement al Ministerio de Defensa, que harán además de haber restaurado el contenido original y mantener el error en el phpBB (que creo es por donde ingresaron) ?
Revisarán cuando menos su seguridad perimetral hacia Internet ? Revisarán sus políticas de seguridad informática ? sí las tienen, Harán un aseguramiento de los servicios tecnológicos que ofrecen ? Mandarán a su gente a prepararse de verdad en seguridad informática y no a manejar productos ? Seguirán usando Linux por ser uno de los sistemas operativos más seguros y no solamente porque son más baratos o son gratuítos ? Alguien les hará ver que la seguridad también se da a nivel de las aplicaciones ?
Lo más seguro es que les caerán 30 vendedores diciendoles que no debieron usar Linux, que usen MS Windows, que lleven los cursos de seguridad de Microsoft, que se certifiquen, que usen "firewalls basado en hardware" y no software, que compren! que compren! que compren!
Ah! Y cómo sabrán después de toda la inversión que sí estan seguros ? "Nuestros ingenieros titulados y colegiados expertos en seguridad han evaluado la seguridad de la protección instalada por ellos mismos usando las más avanzadas herramientas utilizadas por los hackers".
Ojala siquiera supieran usar nmap adecuadamente, menos pensar en verlos probando si el filtro de contenido detiene el envio de un exploit o una inyección del tipo que sea.
=> Espero tener tiempo el resto de la semana para un post técnico que hace tiempo no hago.